O e-mail de encaminhamento de porta pfSense bloqueia alguns remetentes

Navegue suas respostas
1

Estamos usando um firewall pfSense com um IP público estático. A porta TCP 25 é encaminhada para o servidor de e-mail na DMZ, exatamente de acordo com as instruções aqui . Isso funciona muito bem para a maioria dos remetentes, e o e-mail é encaminhado com sucesso para o endereço do servidor de e-mail interno.

No entanto, alguns remetentes legítimos estão sendo bloqueados na porta 25 no firewall, em vez de serem encaminhados para o servidor de email. Eu sei que o pfSense bloqueia coisas com estado expirado / incorreto, etc. mesmo em portas legítimas, mas isso é tráfego regular de um remetente de e-mail conhecido que está sendo bloqueado. Não existem entradas para o remetente na tabela de estados. Eu também consultei o guia de solução de problemas de encaminhamento de porta do pfSense sem sorte.

Capturei o tráfego do remetente externo em questão; é a porta TCP 25 com um sinalizador SYN e uma boa soma de verificação de cabeçalho, sendo definitivamente bloqueada na interface externa, mas não parece diferente dos pacotes que estão sendo encaminhados corretamente.

Aqui está uma entrada de registro para o remetente bloqueado: 

pf: 2. 858929 rule 34/0(match): block in on fxp0: (tos 0x0, ttl 117, id 41529, offset 0, flags [DF], proto TCP (6), length 48) [blocked-sender-ip].34056 > [internal-dmz-email-ip].25: S, cksum 0x68f8 (correct), 3080958461:3080958461(0) win 65535 <mss 1460,nop,nop,sackOK>

E um para um remetente bem-sucedido que parece bastante semelhante: 

pf: 288804 rule 51/0(match):  pass in on fxp0: (tos 0x0, ttl 111, id 34646, offset 0, flags [DF], proto TCP (6), length 48) [successful-sender-ip].2474 > [internal-dmz-email-ip].25: S, cksum 0xcf9c (correct), 1409725583:1409725583(0) win 65535 <mss 1460,nop,nop,sackOK>

Alguma ideia do que está acontecendo aqui?

    
por nedm 01.10.2009 / 22:40

1 resposta

1

O PFSense tem regras padrão sobre onde o tráfego pode vir da interface WAN.

Por exemplo, você pode dizer que elimine qualquer tráfego na WAN que tenha um endereço IP privado (192.168, 10.0 ou 172.0), porque em muitos cenários você nunca deve ver um IP privado na WAN. No entanto, também em muitos casos você teria (se o pfSense está sentado dentro de uma rede, em vez de na borda).

Ele também bloqueia intervalos de IP que não são oficialmente alocados para qualquer pessoa, já que eles supostamente nunca foram vistos na natureza.

Você pode desativar essas opções no menu Avançado em Configuração (acho que é, fora da minha cabeça) ou possivelmente na tela de configuração da WAN.

Vou sugerir que essas duas opções sejam o ponto de partida, porque, por qualquer motivo, o tráfego pode estar originando de um intervalo de IP privado (filtro de email, antivírus, etc.), mas atingindo a porta WAN, OU um novo bloco de faixas IP foi alocado e o PFSense não está atualizado com suas listagens.

    
por 01.10.2009 / 23:02

Tags

VMWare Server - Máquina Virtual Inválida Atualiza o servidor rodando o Ubuntu 8.04 w / plesk para o Ubuntu 9.04 w / plesk [closed]